風險如梭，時光似箭，2018轉眼即逝。這意味着很多人正在完成2019年年度內部審計計劃的收尾工作。我確信您的程序是周密的，並且您正在準備向您的審計委員會提交一份計劃，該計劃將體現了您所在組織的基於風險的優先排序。然而，在您的計劃墨跡未乾之時，提前看看同行們在未來一年裏需要解決的優先事項是有借鑑意義的。

風險充斥了內部審計師的世界。因而，風險影響了我們的審計計劃，作用於我們的利益相關者，決定了我們的成敗。這就是我們花費如此多的時間和精力來幫助組織識別、理解、減輕或利用風險的原因。瞭解我們的組織面臨的獨特風險組合，以及我們的利益相關者的風險偏好，對於內部審計增加價值至關重要。

許多組織編制年度報告，試圖發現未來一年的苗頭性、傾向性風險。有時候，預測這些風險是很容易的，因爲一些主要風險即使不是永久性的，也是長期的。所面臨的挑戰是確定或預期在未來幾周或幾個月內可能出現的未預期的、新出現的或非典型的風險，以期準備應對這些風險或利用它們造福組織。

最近發表的兩份報告，一份來自高德納公司(GartnerInc.)，另一份來自歐洲內部審計學會(ECIIA)，不約而同地指出了2019年排名第一的風險：網絡安全。近年來，對組織的這種挑戰一直在年度報告的風險等級中攀升。隨着我們對網絡的理解越來越有經驗，我們管理它的方法越來越成熟，我們也看到了與網絡相關的越來越多的其他風險類別。

事實上，對網絡安全的關注幫助我們認識到技術和數據是不可分割地交織在一起的，這提高了我們對與數據治理和數據隱私相關的風險的認識。從而促使我們更加認識到與第三方關係、IT治理和文化相關的風險。

例如，Gartner報告中五大風險中的四個可以說是源於我們對網絡安全的關注——網絡安全防範、數據隱私、數據治理和第三方風險。由ECIIA開發並製作的《2019風險聚焦》報告中，把網絡安全、IT治理和第三方風險歸爲一類。ECIIA報告中的關注的另一個類別是歐盟《通用數據保護條例》生效後的數據保護和策略。

數據和技術也是數字化、自動化和人工智能風險所關注的中心。這些討論恰如其分地展示了在風險和機遇間尋求平衡的挑戰。正如ECIIA的報告指出:

“如果能充分發揮其潛力，自動化和其他數字流程的成本和效率效益可能會發生變革。但企業也必須考慮到與這種變革相關的風險。”

自2016年以來，IIA在年度內部審計脈衝調查中收集的數據也反映了對網絡的關注。在2016年至2018年期間，北美地區將網絡列爲組織最大風險的首席審計官(CAEs)的比例從60%升至68%。與此同時，將IT列爲最高風險的首席審計官(CAEs)的比例從39%上升至53%，與第三方關係的風險也呈現溫和增長。

Gartner的報告對144家CAEs進行了調查，有三分之二的受訪者表示，在過去兩年中，他們要麼經歷過與第三方關係的中斷，要麼對第三方關係的活動缺乏足夠的知識而無法識別中斷。

衆所周知，隨着對第三方關係的脆弱監督、數字化和數據共享，與第三方相關的風險正變得越來越複雜，這可能會給組織帶來聲譽損害。

人們很容易關注數據和技術驅動的風險，但正如兩份風險報告所言，其他風險肯定存在。高德納(Gartner)在2018年的報告中指出，道德和誠信風險是從文化風險演變而來的。ECIIA報告也指出，職場文化也是蘊含着風險。

2018年，#MeToo運動重新定義了組織如何看待性騷擾和職場不平等帶來的風險。儘管這兩個領域都是已知的風險類別，但針對知名娛樂行業高管的嚴重指控以及隨後對其組織聲譽造成的損害，顯著提高了這一風險水平。社交媒體的重要作用怎麼強調都不爲過。在這裏，技術正在影響我們如何看待風險。

劍橋分析研究所的醜聞提供了另一個例子。Facebook及其標誌性創始人馬克•扎克伯格(Mark Zuckerberg)因允許這家英國公司竊取數百萬用戶的個人信息而蒙受了重大的聲譽損失。它還提高了人們對與數據保護和隱私相關的道德責任的認識，這在Gartner和ECIIA的報告中都被視爲一個重大風險。

展望2019年，風險領域可能會集中在網絡安全、數據治理和隱私、第三方風險以及與技術對組織倫理、文化和誠信的影響相關的風險。

當你爲來年準備內部審計計劃時，你應該確保你已經考慮過你的組織所面臨的所有風險，並與你的審計委員會和高級管理層進行討論。該清單絕不是全面的，也不一定適用於所有組織。但是，當你思考2019年可能會發生什麼時，它確實提供了一個有用的標杆。

一如既往，我期待您的評論。

作者：Richard Chambers

翻譯：陳國華

排版：Jack Sparrow

源自2018年11月19日IIA官網

-往期精選-

內部審計的機遇和挑戰——數據分析

內部控制與風險管理不得不說的故事

提升內部審計未來地位的五大探索